- Aperçu de la norme HIPAA
- Conformité HIPAA
- Correspondance de conformité
Garantir la confidentialité et la sécurité des données de santé en appliquant les contrôles et mesures qu’impose la norme HIPAA
La loi Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale adoptée aux États-Unis, visant à protéger la confidentialité des données personnelles de santé. Elle oblige les acteurs du secteur de la santé, leurs partenaires commerciaux et d’autres entités (désignés sous le terme entités visées et partenaires commerciaux) à prendre des mesures pour garantir la confidentialité et la sécurité des données de santé protégées qui peuvent identifier un individu.
HIPAA accorde certains droits aux individus et énonce des directives pour la transmission électronique de données de santé.
La conformité HIPAA est exigée de toutes les entités visées, notamment les professionnels de la santé et leurs partenaires commerciaux. La non-conformité avec les exigences HIPAA, ou une mauvaise protection des données de patient contre une violation par des entités visées aux termes de cette loi, peut entraîner de lourdes sanctions financières.
L’adoption de cette norme offre aussi aux entreprises les avantages suivants :
Un aspect clé de la mise en conformité HIPAA consiste à veiller au respect des mesures administratives, techniques et physiques qu’énonce la règle de sécurité HIPAA.
La suite des solutions de gestion informatique ManageEngine permet de satisfaire les contrôles de gestion informatique et de sécurité indiqués au titre de ces mesures.
Mesures administratives
Mesures de protection physique
Mesures de protection techniques
Identifier et analyser les risques pour les données de santé électroniques protégées et les prévenir efficacement par la mise en conformité via des stratégies de sécurité et une analyse régulière de l’activité des systèmes pour détecter et régler les incidents de sécurité.
Identifiez les violations de sécurité, régulez l’accès et rationalisez les processus de mise à jour corrective. Déployez une analyse comportementale des utilisateurs et des entités (UEBA) pour déceler une activité inhabituelle. Appliquez des stratégies de prévention des pertes de données (DLP) et centralisez le contrôle des opérations de terminal. Limitez l’accès d’administration, priorisez les risques et avisez les administrateurs des violations de stratégie.
S’assurer que seul un personnel autorisé et formé a accès à des données sensibles avec des procédures pour vérifier l’accès, contrôler les autorisations et révoquer l’accès si nécessaire, afin de protéger les données contre un accès non autorisé et des violations.
Automatisez la gestion du cycle de vie des utilisateurs Sécurisez et simplifiez l’accès avec des fonctions MFA et SSO. Autorisez l’accès aux données sensibles des utilisateurs et des groupes. Examinez et détectez les connexions indésirables avec des rapports sur la connexion des utilisateurs. Utilisez un contrôle d’accès basé sur le rôle pour les données de santé électroniques protégées. Contrôlez les connexions d’appareil, les applications et automatisez les ajustements d’accès. Gérez les comptes d’utilisateur dans plusieurs plateformes. Assurez un audit des modifications de compte et activez des alertes en temps réel.
Contrôler qui a accès à des données sensibles en déployant des stratégies et des procédures pour autoriser, octroyer et modifier des droits d’accès d’utilisateur, garantissant que seuls les individus autorisés disposent de données précises.
Suivez toute l’activité du réseau pour obtenir des détails complets sur l’accès aux données, l’abus de privilèges, l’activité des utilisateurs et les connexions et déconnexions. Recevez des alertes en temps réel par SMS ou courrier lorsqu’une source malveillante interagit avec le réseau. Octroyez à certains utilisateurs ou services un accès à des fichiers, des dossiers et des registres. Gagnez en efficacité et protégez les données en déployant des fonctions MFA et SSO. Configurez des conditions pour supprimer rapidement des utilisateurs ayant quitté l’organisation de tous les annuaires liés et révoquer tous leurs droits d’accès à des applications.
Établir des procédures pour des mises à jour de sécurité régulières, une protection contre les programmes malveillants, l’analyse des connexions, la gestion des mots de passe et le signalement des incidents de sécurité.
Automatisez la mise à jour corrective régulière des appareils vulnérables et sécurisez les données protégées qu’ils hébergent. Identifiez et confinez rapidement les incidents avec une analyse fiable, une segmentation réseau et une désactivation des comptes compromis. Éradiquez les programmes malveillants en les supprimant, corrigeant les vulnérabilités et analysant les vecteurs d’attaque.
Établir des protocoles pour identifier, traiter, prévenir et documenter les incidents de sécurité afin de veiller à remédier rapidement aux violations ou problèmes, atténuer les dommages et éviter la répétition.
Collectez, centralisez et analysez les journaux de diverses sources comme les serveurs, les applications, les périphériques réseau, etc. Corrélez les données de journal collectées pour détecter instantanément des modèles d’attaque. Détectez les sources malveillantes interagissant avec le réseau en corrélant des journaux aux données provenant de flux de menaces mondiaux. Gérez et suivez facilement tous les incidents avec un processus défini pour tout le cycle de vie en configurant des états personnalisés. Affectez automatiquement des tickets selon l’expertise des techniciens ou des groupes pour une résolution exacte et rapide et évitez la récurrence d’incidents.
Élaborer et tenir à jour des stratégies et des procédures pour répondre aux urgences système, conserver des copies récupérables des données protégées, assurer la restauration, tester régulièrement le plan d’urgence et évaluer la criticité des applications et des données pour le plan.
Corrélez les données de journal de diverses sources pour détecter les incidents de sécurité et les urgences système. Créez des tickets d’incident, affectez des tâches à un personnel désigné et suivez l’avancement de la résolution des incidents. Identifiez les vulnérabilités de l’infrastructure informatique et priorisez-les selon la gravité. Évaluez la criticité des applications et des données en identifiant les vulnérabilités pouvant agir sur leur disponibilité ou intégrité en cas d’urgence. Automatisez le processus de gestion des correctifs pour les systèmes d'exploitation, les applications et les logiciels tiers. Veillez à tenir à jour les systèmes avec les derniers correctifs de sécurité.
Réaliser des évaluations régulières, avec un ajustement selon les évolutions affectant la sécurité des données, pour analyser la conformité d’une entité visée ou d’un partenaire commercial avec les normes de la sous-partie.
Recevez des alertes en temps réel sur les événements clés et utilisez des rapports de conformité HIPAA prédéfinis pour faciliter les audits. Archivez bien les données de journal pendant une longue durée pour satisfaire les exigences de conformité. Répondez rapidement aux menaces de sécurité des données protégées, gérez les incidents et traitez les tickets des problèmes identifiés, en garantissant un accès autorisé et analysant les paramètres réseau et l’intégrité pour rester en conformité avec les stratégies de sécurité.
Élaborer et appliquer des protocoles d’accès aux installations en cas d’urgence, avec des mesures de sécurité pour prévenir l’entrée non autorisée et la malveillance. Déployer un contrôle d’accès basé sur le rôle pour le personnel, avec une gestion des visiteurs et de l’accès aux logiciels. Établir des stratégies précisant les exigences propres aux postes de travail pour traiter des données de santé protégées.
Gérez de façon centralisée la sécurité des terminaux, appliquez des contrôles d’accès aux données de patient et utilisez l’accès basé sur le rôle. Régulez l’accès au réseau, renforcez la sécurité des terminaux et définissez des rôles d’utilisateur. Appliquez des protocoles d’accès aux installations en cas d’urgence en verrouillant à distance les terminaux ou limitant l’accès aux données sensibles qui y résident. Créez et centralisez des documents de base de connaissances pour les protocoles d’accès aux installations, les contrôles d’accès et les exigences de poste de travail pour le traitement de données protégées.
Gérer et sécuriser les périphériques physiques et les supports de stockage contenant des données protégées, avec un suivi des terminaux, une cession, un chiffrement et des contrôles d’accès, pour éviter un accès non autorisé ou la perte de données et bien protéger la confidentialité des patients.
Gérez le cycle de vie des appareils, notamment la cession. Effacez à distance les données d’un appareil en cas de vol ou si un employé quitte l’organisation. Limitez et contrôlez l’utilisation de périphériques sur le réseau, au niveau utilisateur et ordinateur. Utilisez la gestion des autorisations pour configurer des stratégies de navigateur, de pare-feu et de sécurité, ainsi que pour établir un contrôle d’accès aux fichiers, aux dossiers et aux registres. Appliquez un chiffrement aux fichiers, aux dossiers et aux lecteurs.
Gérer l’accès autorisé aux données avec une authentification, une autorisation, un chiffrement, un audit et des systèmes de pare-feu assurant la confidentialité, l’intégrité et la disponibilité et étayant la conformité réglementaire.
Assurez une gestion centralisée des comptes d’utilisateur Active Directory (AD) et des stratégies d’authentification. Appliquez des mécanismes d’authentification forte comme l’authentification multifacteur (MFA) pour vérifier les identités des utilisateurs accédant à des systèmes ou des ressources contenant des données protégées. Affinez les droits d’accès des utilisateurs dans chaque application en leur affectant les rôles requis et des autorisations en masse. Offrez un accès d’un clic sécurisé à une large gamme d’applications, dont AWS, Google Workspace, Salesforce et Microsoft Entra ID (auparavant Microsoft Azure AD).
Appliquer des mécanismes matériels, logiciels et organisationnels pour enregistrer et examiner l’activité des systèmes d’information contenant ou utilisant des données protégées.
Décelez précisément les modifications d’autorisations de fichier comme les fichiers créés, modifiés, renommés ou supprimés. Obtenez une piste d’audit de tous les événements des systèmes, des applications et des réseaux pour identifier les zones de risque. Garantissez la conformité avec des modèles prêts à l’audit. Générez divers rapports sur les connexions et déconnexions d’utilisateur, l’utilisation de périphériques USB et avertissez les équipes des logiciels ajoutés ou supprimés, des mises à jour antivirus régulières et de l’état des pare-feux, BitLocker et des coffres de fichiers.
Adopter des stratégies pour protéger les données contre une altération ou destruction non autorisée. Utiliser des mécanismes électroniques pour vérifier l’intégrité des données et les maintenir intactes et en sécurité.
Assurez une analyse des fichiers en temps réel pour suivre les modifications et suppressions de données non autorisées et recevez des alertes instantanées. Décelez précisément les modifications d’autorisations de fichier comme les fichiers créés, modifiés, renommés ou supprimés. Instaurez des contrôles d’accès et un enregistrement des sessions pour la sécurité des données, avec des pistes d’audit pour la traçabilité.
Établir des procédures pour vérifier l’identité réelle des individus ou des entités cherchant à accéder à des données protégées.
Appliquez des mécanismes d’authentification sur les terminaux, garantissant que seuls les utilisateurs autorisés peuvent accéder aux données qui y résident. Assurez une gestion centralisée des comptes d’utilisateur AD et des stratégies d’authentification. Appliquez des mécanismes d’authentification forte de type MFA pour vérifier les identités des utilisateurs accédant à des systèmes ou des ressources contenant des données protégées.
Mettre en œuvre des mesures de sécurité techniques pour protéger contre un accès non autorisé aux données transmises via un réseau de communications électroniques. S’assurer que des données ne sont pas indûment modifiées sans qu’on le détecte jusqu’à leur élimination. Établir des mécanismes pour chiffrer les données, le cas échéant.
Analysez et régulez le mouvement de données d’entreprise dans une console centrale pour lutter contre les attaques internes et la perte. Utilisez un contrôle d’accès basé sur le rôle et de transfert avec une limite de fichiers pour protéger les données.
Affichez l’infographie pour consulter les produits ManageEngine aidant à satisfaire diverses exigences de gestion informatique et de sécurité de la loi HIPAA.
Téléchargez ce guide pour examiner de près comment ManageEngine vous aide à établir des contrôles informatiques HIPAA.
Le plein respect de la loi HIPAA implique différents contrôles opérationnels, humains et technologiques. Les mesures mentionnées ci-dessus contribuent à répondre aux exigences de la loi HIPAA avec des outils de gestion informatique. Alliées à d’autres solutions, processus, contrôles humains et stratégies adaptés, les solutions de ManageEngine aident les entreprises à respecter la loi HIPAA. Ce document fourni à titre informatif uniquement ne constitue pas un avis juridique pour la conformité HIPAA. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document. Contactez votre conseiller juridique pour savoir comment la loi HIPAA concerne votre entreprise et les mesures à prendre pour vous y conformer.